Test zum Schutz vor fortgeschrittenen Bedrohungen 2025 - Verbraucher

Einleitung

"Advanced Persistent Threat" (fortgeschrittene anhaltende Bedrohung) ist ein Begriff, der allgemein verwendet wird, um einen gezielten Cyberangriff zu beschreiben, bei dem eine Reihe komplexer Methoden und Techniken eingesetzt wird, um in Informationssysteme einzudringen. Die verschiedenen Ziele solcher Angriffe können darin bestehen, vertrauliche Informationen zu stehlen, zu ersetzen oder zu beschädigen oder Sabotagefähigkeiten aufzubauen, wobei letzteres zu einer finanziellen Schädigung und einer Schädigung des Ansehens der betroffenen Organisationen führen kann. Solche Angriffe sind sehr zielgerichtet und erfolgen in der Regel mit hochspezialisierten Tools. Die verwendeten Tools sind zum Teil kostenlos und zum Teil kommerziell, ihre Nutzlasten basieren zum Teil auf nicht ausweichenden Techniken wie der Verwendung von Standard-Windows-APIs und zum Teil auf ausweichenden Techniken wie direkten Syscalls, indirekten Syscalls, Unhooking im Benutzermodus, Shellcode-Verschleierung, API-Hashing, Hardware-Breakpoints usw.

In unserem Test zum Schutz vor fortgeschrittenen Bedrohungen verwenden wir Taktiken, Techniken und Verfahren (TTPs), die die Strategien widerspiegeln, die Angreifer verwenden, um ein Netzwerk mit Malware zu infiltrieren. Diese vielschichtigen Angriffe können anhand der Cybersecurity Kill Chain von Lockheed Martin klassifiziert werden, die sie in sieben verschiedene Phasen unterteilt, die jeweils durch eindeutige Indicators of Compromise (IOCs) gekennzeichnet sind. Unser Testansatz ist stark von einer Teilmenge der TTPs beeinflusst, die im angesehenen MITRE ATT&CK® Framework zu finden sind. Um die Authentizität und Zuverlässigkeit unserer Ergebnisse zu untermauern, ist ein Fehlalarmtest in unseren Bericht integriert. Unsere Tests sind so konzipiert, dass sie reale Szenarien so genau wie möglich simulieren, wobei eine Vielzahl von Techniken und Ressourcen eingesetzt werden, die die in realen Cyberangriffen gefundene Malware imitieren. Wir verwenden Systemprogramme, die darauf ausgelegt sind, die signaturbasierte Erkennung zu umgehen, und nutzen gleichzeitig die Vielseitigkeit gängiger Skriptsprachen wie JavaScript, Batch-Dateien, PowerShell und Visual Basic-Skripts. Unsere Tests verweben auf raffinierte Weise sowohl inszenierte als auch nicht inszenierte Malware-Samples und nutzen geschickt Verschleierungs- und Verschlüsselungsstrategien wie Base64, XOR und AES, um den bösartigen Code zu verschleiern, bevor er ausgeführt wird. Wir verwenden eine Reihe von C2-Kanälen zur Kommunikation mit dem Angreifer, darunter HTTP, HTTPS und TCP. Darüber hinaus umfasst unser Arsenal eine Vielzahl bekannter Exploit-Frameworks wie das Metasploit Framework, PowerShell Empire und verschiedene andere kommerzielle Tools. Dieser ganzheitliche und komplexe Ansatz stellt sicher, dass unsere Tests an der Spitze der Cybersicherheitsbewertung bleiben und die sich ständig weiterentwickelnde Bedrohungslandschaft widerspiegeln.

Als Zielrechner verwenden wir vollständig gepatchte 64-Bit-Windows-11-Systeme, auf denen jeweils ein anderes AV-Produkt installiert ist. Im Verbrauchertest wird ein Administratorkonto verwendet, obwohl jeder POC nur mit einem Standard-Benutzerkonto mit mittlerer Integrität ausgeführt wird. Die Windows-Benutzerkontensteuerung ist in beiden Tests aktiviert und auf die Standardstufe eingestellt. Bei Anbietern, deren Produkte sowohl im Consumer- als auch im Enterprise-ATP-Test getestet wurden, ist zu beachten, dass die Produkte und ihre Einstellungen unterschiedlich sein können. Daher sollten die Ergebnisse des Verbrauchertests nicht mit denen des Unternehmenstests verglichen werden. Sobald die Nutzlast vom Opfer ausgeführt wurde, wird ein Command-and-Control-Kanal (C2) zum System des Angreifers geöffnet. Damit dies geschehen kann, muss auf der Seite des Angreifers ein Listener laufen. Dies könnte zum Beispiel ein Metasploit-Listener auf einem Kali Linux-System sein. Über den C2-Kanal hat der Angreifer vollen Zugriff auf das kompromittierte System. Die Funktionalität und Stabilität des hergestellten Zugangs wird in jedem Testfall überprüft. Wenn eine stabile C2-Verbindung hergestellt wird, gilt das System als kompromittiert. Der Test besteht aus 15 verschiedenen Angriffen. Er konzentriert sich auf den Schutz, nicht auf die Erkennung, und wird vollständig manuell durchgeführt. Obwohl das Testverfahren notwendigerweise komplex ist, haben wir in diesem Bericht eine recht einfache Beschreibung verwendet.

Die Anbieter der AV Consumer Main-Test-Series hatten vor Testbeginn die Möglichkeit, sich von diesem Test abzumelden, weshalb nicht alle Anbieter in diesem Test enthalten sind. Einige Anbieter arbeiten weiter an der Perfektionierung ihrer Produkte, bevor sie an diesem erweiterten Test teilnehmen.

Umfang des Tests

Der Advanced Threat Protection (ATP) Test untersucht, wie gut die getesteten Produkte vor ganz bestimmten gezielten Angriffsmethoden schützen. Er berücksichtigt nicht die allgemeine Sicherheit, die jedes Programm bietet, oder wie gut es das System vor Malware schützt, die aus dem Internet heruntergeladen oder über USB-Geräte und gemeinsam genutzte Netzlaufwerke eingeschleust wird.

Er sollte als Ergänzung zum Real-World Protection Test und zum Malware Protection Test betrachtet werden, nicht als Ersatz für diese beiden Tests. Folglich sollten die Leser auch die Ergebnisse der anderen Tests in unserer Main-Test Series berücksichtigen, wenn sie den Gesamtschutz eines einzelnen Produkts bewerten wollen. Dieser Test hier konzentriert sich darauf, ob die Security-Produkte vor bestimmten Angriffs-/Ausbeutungstechniken schützen, die bei Advanced Persistent Threats verwendet werden. Leser, die über solche Angriffe besorgt sind, sollten die an diesem Test teilnehmenden Produkte in Betracht ziehen, deren Hersteller sich sicher waren, dass sie vor diesen Bedrohungen schützen können.

Beim ATP-Test konzentrieren wir uns auf die Entwicklung und das Testen verschiedener Arten von C2-Malware-POCs, die auf unterschiedlichen Taktiken und Techniken der Angreifer basieren. Wir verwenden eine Vielzahl von Übertragungsszenarien, um die möglichen Strategien der Angreifer zu berücksichtigen. Das Ziel des ATP-Tests ist es, die Präventionsfähigkeiten der jeweiligen Produkte zu demonstrieren. Um dies zu erreichen, verwenden wir verschiedene POCs, die alle versuchen, nach der Ausführung einen stabilen C2-Kanal zu öffnen und so eine erfolgreiche erste Kompromittierung zu simulieren. In den Fällen, in denen ein POC nicht verhindert wurde und der Angreifer in der Lage war, eine stabile C2-Sitzung zu öffnen, wurde der Ziel-PC als kompromittiert betrachtet. Der Test prüft nicht die verschiedenen Phasen eines Angriffs (was in unserem EPR-Prüfung).

Geprüfte Produkte

Die folgenden Anbieter haben an dem Test zum Schutz vor fortgeschrittenen Bedrohungen teilgenommen. Dies sind die Anbieter, die von den Schutzfunktionen ihrer Produkte überzeugt waren[1] gegen gezielte Angriffe, um an diesem öffentlichen Test teilzunehmen. Alle anderen Anbieter der Haupttestreihe für Verbraucher haben sich gegen die Teilnahme an diesem Test entschieden.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die in den Produkten verwendet werden: G Data verwendet die Bitdefender-Engine. AVG und Norton sind umbenannte Versionen von Avast.

• Avast Free Antivirus 25.10
• AVG AntiVirus Free 25.10
• Avira Free Security 1.1
• Bitdefender Total Security 27.0
• ESET HOME Security Essential 18.2
• G DATA Total Security 25.5
• Kaspersky Premium 21.22
• Norton Antivirus Plus 25.10

Alle Consumer-Produkte wurden mit Standardeinstellungen getestet.

Testverfahren

Skripte wie VBS, JS oder MS Office-Makros können ausgeführt werden und eine dateilose Hintertür auf den Systemen der Opfer installieren und einen Kontrollkanal (C2) zum Angreifer schaffen, der sich in der Regel an einem anderen physischen Ort und vielleicht sogar in einem anderen Land befindet. Abgesehen von diesen bekannten Szenarien ist es möglich, Malware über Exploits, Remote-Aufrufe (PSexec, wmic), Taskplaner, Registrierungseinträge, Arduino-Hardware (USB RubberDucky) und WMI-Aufrufe zu verbreiten. Dies kann mit integrierten Windowstools wie PowerShell erfolgen. Diese Methoden laden die eigentliche Malware direkt aus dem Internet in den Speicher des Zielsystems und breiten sich mit systemeigenen Tools weiter im lokalen Netzwerk aus. Auf diese Weise können sie sich sogar auf den Rechnern festsetzen.

Dateilose Angriffe

Im Bereich der Malware gibt es viele (sich möglicherweise überschneidende) Klassifizierungskategorien, und es kann unter anderem zwischen dateibasierter und dateiloser Malware unterschieden werden. Seit 2017 ist eine deutliche Zunahme von dateilosen Bedrohungen zu verzeichnen. Ein Grund dafür ist die Tatsache, dass sich solche Angriffe aus Sicht der Angreifer als sehr erfolgreich erwiesen haben. Ein Faktor für ihre Effektivität ist die Tatsache, dass dateilose Bedrohungen nur im Speicher des kompromittierten Systems operieren, was es für Sicherheitslösungen schwieriger macht, sie zu erkennen. Es ist wichtig, dass dateilose Bedrohungen sowohl von Security-Produkten für Privatanwender als auch von Unternehmensprodukten erkannt werden, und zwar aus den unten genannten Gründen.

Angriffsvektoren und Ziele

Bei Penetrationstests stellen wir fest, dass bestimmte Angriffsvektoren von Sicherheitsprogrammen noch nicht ausreichend abgedeckt werden und dass viele gängige AV-Produkte noch immer keinen ausreichenden Schutz bieten. Einige Sicherheitsprodukte für Unternehmen haben sich in diesem Bereich verbessert und bieten in einigen Szenarien einen besseren Schutz. Wie bereits erwähnt, sind wir der Meinung, dass auch Verbraucherprodukte ihren Schutz vor solchen bösartigen Angriffen verbessern müssen; Nicht-Unternehmensanwender können auf dieselbe Weise angegriffen werden und werden es auch.https://www.bleepingcomputer.com/news/security/google-youtubers-accounts-hijacked-with-cookie-stealing-malware/). Jeder kann aus einer Vielzahl von Gründen ins Visier genommen werden, einschließlich "Doxing" (Veröffentlichung vertraulicher persönlicher Informationen) als Racheakt. Auch Angriffe auf die Heimcomputer von Geschäftsleuten sind ein naheliegender Weg, um an deren Unternehmensdaten zu gelangen.

Angriffsmethoden

Der Test zum Schutz vor fortgeschrittenen Bedrohungen umfasst auch verschiedene Befehlszeilen-Stacks, CMD/PS-Befehle, mit denen Malware aus dem Netz direkt in den Arbeitsspeicher heruntergeladen (staged) oder base64-kodiert aufgerufen werden kann. Mit diesen Methoden wird der Zugriff auf die Festplatte, die (normalerweise) gut von Security-Produkten geschützt wird, vollständig vermieden. Manchmal verwenden wir einfache Verschleierungsmaßnahmen oder ändern auch die Methode des Stager-Aufrufs. Sobald die Malware ihre zweite Stufe geladen hat, wird eine http/https-Verbindung zum Angreifer hergestellt. Dieser Inside-Out-Mechanismus hat den Vorteil, dass ein C2-Kanal zum Angreifer aufgebaut wird, der den Schutzmaßnahmen der meisten NAT- und Firewall-Produkte entgeht. Sobald der C2-Tunnel aufgebaut ist, kann der Angreifer alle bekannten Kontrollmechanismen der gängigen C2-Produkte (Meterpreter, PowerShell Empire, etc.) nutzen. Dazu gehören z.B. Datei-Uploads/Downloads, Screenshots, Keylogging, Windows Shell (GUI) und Webcam-Snapshots. Wir erwarten, dass Angriffe unabhängig davon blockiert werden, wo/wie sie gehostet werden und woher/wie sie ausgeführt werden. Wenn ein Angriff nur unter ganz bestimmten Umständen erkannt wird, würden wir sagen, dass das Produkt keinen wirksamen Schutz bietet.

False Positives (False Alarm) Test

Ein Sicherheitsprodukt, das 100% böswillige Angriffe blockiert, aber auch legitime (nicht böswillige) Aktionen blockiert, kann eine enorme Störung darstellen. Daher führen wir im Rahmen des Tests zum Schutz vor fortgeschrittenen Bedrohungen einen False-Positives-Test durch, um zu prüfen, ob die getesteten Produkte in der Lage sind, bösartige von nicht-bösartigen Aktionen zu unterscheiden. Andernfalls könnte ein Sicherheitsprodukt leicht 100% der bösartigen Angriffe blockieren, die z. B. E-Mail-Anhänge, Skripte und Makros verwenden, indem es solche Funktionen einfach blockiert. Für viele Benutzer könnte dies die Erledigung ihrer normalen täglichen Aufgaben unmöglich machen. Daher werden falsch-positive Ergebnisse in der Testnote des Produkts berücksichtigt.

Wir stellen außerdem fest, dass eine Warnung, z.B. vor dem Öffnen harmloser E-Mail-Anhänge, zu einem "Junge, der Wolf rief"-Szenario führen kann. Nutzer, die mit einer Reihe unnötiger Warnungen konfrontiert werden, gehen früher oder später davon aus, dass alle Warnhinweise Fehlalarme sind, und ignorieren daher eine echte Warnung, wenn sie auftaucht.

Testfälle

Wir haben fünf verschiedene Initial Access Phases, verteilt auf die 15 Testfälle.

1. Trusted Relationship: "Angreifende können in Organisationen eindringen oder diese anderweitig ausnutzen, die Zugang zu den beabsichtigten Opfern haben. Der Zugang über die Beziehung zu vertrauenswürdigen Dritten nutzt eine bestehende Verbindung aus, die möglicherweise nicht geschützt ist oder weniger sorgfältig geprüft wird als die Standardmechanismen, mit denen man sich Zugang zu einem Netzwerk verschafft."
2. Valid accounts: "Angreifende können die Anmeldedaten eines bestimmten Privatnutzer- oder Dienstkontos mithilfe von Credential-Access-Techniken stehlen oder Anmeldedaten zu einem früheren Zeitpunkt in ihrem Erkundungsprozess durch Social Engineering abfangen [...]."
3. Replication Through Removable Media: "Angreifende können in Systeme eindringen [...], indem sie Malware auf Wechseldatenträger kopieren [...] und sie so umbenennen, dass sie wie eine legitime Datei aussieht, um Benutzer dazu zu bringen, sie auf einem anderen System auszuführen. [...]"
4. Phishing: Spearphishing Attachment: "Spearphishing Attachment ist [...] die Verwendung von Malware im Anhang einer E-Mail. [...]"
5. Phishing: Spearphishing Link: "Beim Spearphishing mit einem Link [...] werden Links verwendet, um in E-Mails enthaltene Malware herunterzuladen [...]."

Die 15 Testszenarien, die in diesem Test verwendet wurden, werden im Folgenden kurz beschrieben:

1.  Diese Bedrohung wird über einen Spearphishing-Link eingeschleust. Es wird eine bösartige Binärdatei (.EXE) geliefert, die verschlüsselten oder kodierten Shellcode verwendet, den Benutzermodus abkoppelt, um Abwehrmaßnahmen zu umgehen, Maskerade zur Nachahmung einer legitimen Binärdatei nutzt, Systemdienstprogramme umbenennt, eine ungültige Codesignatur trägt und eine stufenlose Meterpreter-Nutzlast ausführt, um die Befehls- und Kontrollfunktion zu übernehmen.
2. Diese Bedrohung wird über gültige Konten eingeschleust. Es wird eine bösartige verschleierte JavaScript-Datei (.JS) bereitgestellt, die verschlüsselten Shellcode verwendet und eine Meterpreter-Nutzlast ausführt, um die Befehls- und Kontrollfunktion zu übernehmen.
3. Diese Bedrohung wird über einen Spearphishing-Anhang eingeschleust. Es wird ein bösartiges Control-Panel-Applet (.CPL) übermittelt, das verschlüsselten oder verschlüsselten Shellcode verwendet, den Benutzermodus abkoppelt, um Abwehrmechanismen zu umgehen, und eine stufenlose Meterpreter-Nutzlast ausführt, um die Kontrolle zu übernehmen.
4. Diese Bedrohung wird über eine vertrauenswürdige Beziehung eingeführt. Es wird eine bösartige Visual Basic-Datei (.VBS) bereitgestellt, die verschlüsselten Shellcode verwendet und eine gestaffelte Meterpreter-Nutzlast ausführt, um die Befehls- und Kontrollfunktion zu übernehmen.
5. Diese Bedrohung wird über die Replikation über Wechselmedien eingeführt. Es wird eine bösartige Bildschirmschonerdatei (.SCR) bereitgestellt, die verschlüsselten oder kodierten Shellcode verwendet, ETW-Patching anwendet, um Verteidigungsmaßnahmen zu umgehen, Masquerading nutzt, um eine legitime Binärdatei zu imitieren, Systemdienstprogramme umbenennt, eine ungültige Codesignatur trägt und mit einer Verzögerung eine stufenlose Meterpreter-Nutzlast ausführt, um die Befehls- und Kontrollfunktion zu übernehmen.
6. Diese Bedrohung wird über einen Spearphishing-Link eingeschleust. Es wird eine kompilierte HTML-Datei (.CHM) geliefert, die verschlüsselten oder kodierten Shellcode verwendet und in einen entfernten Prozess mit einer Verzögerung eine gestaffelte kommerzielle Nutzlast injiziert, um die Befehls- und Kontrollfunktion zu etablieren.
7. Diese Bedrohung wird über gültige Konten eingeschleust. Es wird eine bösartige, verschleierte HTA-Datei (.HTA) bereitgestellt, die verschlüsselten Shellcode verwendet und eine abgestufte kommerzielle Nutzlast ausführt, um die Befehls- und Kontrollfunktion zu übernehmen.
8. Diese Bedrohung wird über einen Spearphishing-Anhang eingeschleust. Es wird ein bösartiges Control-Panel-Applet (.CPL) übermittelt, das verschlüsselten Shellcode verwendet, den Benutzermodus ausschaltet, um Abwehrmechanismen zu umgehen, eine Täuschungsdatei verwendet, um eine legitime Softwareinstallation vorzutäuschen, und eine stufenlose kommerzielle Nutzlast ausführt, um die Kontrolle zu übernehmen.
9. Diese Bedrohung wird über eine vertrauenswürdige Beziehung eingeführt. Eine bösartige Shell-Verknüpfungsdatei (.LNK), die verschlüsselten Shellcode verwendet und eine abgestufte kommerzielle Nutzlast ausführt, um mit certutil.exe eine Befehls- und Kontrollfunktion einzurichten.
10. Diese Bedrohung wird über die Replikation über Wechselmedien eingeführt. Es wird eine bösartige Binärdatei in Form einer MS-DOS-Verknüpfungsdatei (.PIF) geliefert, die verschlüsselten oder kodierten Shellcode verwendet, den Benutzermodus ausschaltet, um Abwehrmechanismen zu umgehen, die Maskerade nutzt, um eine legitime Binärdatei zu imitieren, Systemdienstprogramme umbenennt, eine ungültige Codesignatur trägt und mit einer Verzögerung eine stufenlose kommerzielle Nutzlast ausführt, um die Befehlsgewalt zu übernehmen.
11. Diese Bedrohung wird über einen Spearphishing-Link eingeschleust. Es wird eine bösartige Binärdatei (.EXE) geliefert, die verschlüsselten oder kodierten Shellcode verwendet, den Benutzermodus ausschaltet, um Abwehrmechanismen zu umgehen, Maskerade nutzt, um eine legitime Binärdatei zu imitieren, Systemdienstprogramme umbenennt, eine ungültige Codesignatur trägt und eine gestufte Empire-Nutzlast ausführt, um die Kontrolle zu übernehmen.
12. Diese Bedrohung wird über gültige Konten eingeschleust. Es wird eine bösartige, verschleierte VBS-Datei (.VBS) bereitgestellt, die verschlüsselten Shellcode verwendet und eine gestufte Empire-Nutzlast ausführt, um die Befehls- und Kontrollfunktion zu übernehmen.
13. Diese Bedrohung wird über einen Spearphishing-Anhang eingeschleust. Es wird ein bösartiges Control-Panel-Applet (.CPL) geliefert, das verschlüsselten Shellcode verwendet, eine Täuschungsdatei verwendet, um eine legitime Software-Installation vorzutäuschen, und eine inszenierte Empire-Nutzlast ausführt, um die Kontrolle zu übernehmen.
14. Diese Bedrohung wird über eine vertrauenswürdige Beziehung eingeführt. Es handelt sich um eine bösartige ausführbare Datei in Form einer DLL-Datei (.DLL), die mithilfe von verschlüsseltem Shellcode versucht, ETW zu deaktivieren und eine gestufte Empire-Nutzlast auszuführen, um die Befehls- und Kontrollfunktion zu übernehmen, wobei rundll32.exe zur Ausführung verwendet wird.
15. Diese Bedrohung wird über die Replikation über Wechseldatenträger eingeführt. Es wird eine kompilierte HTML-Datei (.CHM) geliefert, die verschlüsselten Shellcode verwendet und mit einer Verzögerung eine gestaffelte Empire-Nutzlast ausführt, um die Befehls- und Kontrollfunktion zu übernehmen.

False-Alarm Test: Es wurden verschiedene Fehlalarmszenarien verwendet, um festzustellen, ob ein Produkt bestimmte Aktionen übermäßig blockiert (z.B. durch Blockieren von E-Mail-Anhängen, Kommunikation, Skripten usw.). Keines der getesteten Produkte zeigte in den verwendeten Fehlalarm-Testszenarien ein Over-Blocking-Verhalten. Sollten wir im Laufe des Tests feststellen, dass die Produkte ihren Schutz an unsere Testumgebung anpassen, würden wir Gegenmaßnahmen einsetzen, um diese Anpassungen zu umgehen, um sicherzustellen, dass jedes Produkt den Angriff auch wirklich erkennen kann, im Gegensatz zur Testsituation.

Test-Ergebnisse

Nachfolgend finden Sie die Ergebnisse für die 15 Angriffe, die in diesem Test verwendet wurden:

Test-Szenarien

	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	FPs	Ergebnis
Avast																N	13
AVG																N	13
Avira																N	12
Bitdefender																N	15
ESET																N	15
G Data																N	13
Kaspersky																N	13
Norton																N	13

 

Key
	Bedrohung blockiert, keine C2-Session, System geschützt	1 Punkt
	Kein Alert angezeigt, aber keine C2-Session aufgebaut, System geschützt	1 Punkt
	Bedrohung nicht blockiert, C2-Session aufgebaut	0 Punkte
	Schutzergebnis ungültig, da auch nicht-schädliche Skripte/Funktionen blockiert wurden	N/A

Unserer Meinung nach sollte das Ziel eines jeden AV/EPP/EDR-Systems darin bestehen, Angriffe oder andere Malware so schnell wie möglich zu erkennen und zu verhindern. Mit anderen Worten: Wenn der Angriff vor, bei oder kurz nach der Ausführung erkannt/verhindert wird und damit z. B. die Öffnung eines Command-and-Control-Kanals verhindert wird, besteht keine Notwendigkeit, Aktivitäten nach der Ausnutzung zu verhindern. Ein guter Einbrecheralarm sollte ausgelöst werden, sobald jemand in Ihr Haus einbricht. Sie sollte nicht warten, bis der Einbrecher mit dem Stehlen beginnt.

Die Absicht des Tests ist es, sich auf die frühzeitige Erkennung und Verhinderung zu konzentrieren, insbesondere auf das Abfangen von Bedrohungen, bevor sie in die Phase nach der Ausbeutung übergehen. In den Szenarien wurden absichtlich bestimmte Aktionen nach der Ausnutzung ausgeschlossen, um die Wirksamkeit einer frühzeitigen Unterbrechung der Kommando- und Kontrollkanäle zu bewerten und so die Bedrohungen in einem frühen Stadium zu neutralisieren. Das Fehlen von Aktivitäten nach dem Angriff schmälert nicht die Bedeutung einer frühzeitigen Erkennung, da die Verhinderung der Einrichtung eines C2-Kanals die Cyber-Kill-Chain unterbricht und Schutz vor nachfolgenden böswilligen Aktionen bietet. Die Einbeziehung schädlicherer Aktionen könnte die Bewertung in Richtung der Fähigkeiten nach einem Angriff verzerren, anstatt die Fähigkeit des Systems zu bewerten, Bedrohungen in ihren frühen Phasen proaktiv zu vereiteln.

Ein Produkt, das bestimmte legitime Funktionen (z.B. E-Mail-Anhänge oder Skripte) blockiert, würde nur als "Tested" eingestuft werden.

Beobachtungen zu Consumer-Produkten

In diesem Abschnitt geben wir einige zusätzliche Informationen, die für die Leser von Interesse sein könnten.

Erkennungs-/Blockierungsphasen

Pre-Execution (PRE): wenn die Bedrohung noch nicht ausgeführt wurde und auf dem System inaktiv ist (statisch).

On-Execution (ON): unmittelbar nachdem die Bedrohung ausgeführt wurde (dynamisch).

Post-Execution (POST): nachdem die Bedrohung ausgeführt wurde und ihre Aktionen erkannt wurden (im Speicher).

Test-Szenarien

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

Avast

PRE

PRE

PRE

ON

PRE

ON

-

-

PRE

-

PRE

ON

ON

PRE

PRE

AVG

PRE

PRE

PRE

ON

PRE

ON

-

-

PRE

-

PRE

ON

ON

PRE

PRE

Avira

ON

PRE

ON

ON

PRE

-

ON

ON

ON

PRE

-

ON

ON

PRE

-

Bitdefender

PRE

PRE

PRE

PRE

PRE

PRE

PRE

PRE

PRE

PRE

ON

ON

PRE

PRE

PRE

ESET

PRE

PRE

PRE

ON

PRE

ON

PRE

PRE

PRE

PRE

PRE

PRE

ON

PRE

ON

G Data

PRE

PRE

PRE

ON

PRE

ON

PRE

ON

ON

-

-

PRE

PRE

PRE

ON

Kaspersky

POST

PRE

POST

ON

-

PRE

ON

-

POST

PRE

PRE

ON

PRE

PRE

POST

Norton

PRE

PRE

PRE

ON

PRE

ON

PRE

-

PRE

-

PRE

ON

ON

PRE

PRE

 

Avast, AVG, Norton: Die Entdeckungen erfolgten meist vor oder während der Ausführung.

Avira: Die meisten Entdeckungen erfolgten bei der Ausführung.

 Bitdefender: Die meisten Entdeckungen fanden vor der Ausführung statt.

ESET: Die meisten Entdeckungen erfolgten vor der Ausführung.

G Data: Die Erkennungen erfolgten entweder vor oder bei der Ausführung.

Kaspersky: Die meisten Entdeckungen erfolgten vor oder während der Ausführung, vier nach der Ausführung.

Alle getesteten Anbieter führen laufend Produktverbesserungen durch, so dass zu erwarten ist, dass viele der im Test nicht berücksichtigten Angriffe inzwischen abgedeckt sind.

Über diesen Test

Der Test zum Schutz vor fortgeschrittenen Bedrohungen für Verbraucherprodukte ist ein optionaler Teil unseres öffentlichen Verbraucher Haupttestreihe. Wir loben die Anbieter, die sich zur Teilnahme entschlossen haben und damit ihr Engagement für die Herstellung zuverlässiger Produkte unter Beweis gestellt haben. Dieser spezielle Test kann nicht automatisiert werden und erfordert manuelle Eingriffe, was seine Durchführung sehr ressourcenintensiv macht. Wir haben jedoch den Anbietern der Haupttestreihe für Verbraucher die Möglichkeit geboten, ohne zusätzliche Kosten am Public Advanced Threat Protection Test of 2024 teilzunehmen. Dadurch können sie die Behauptungen ihres Produkts unabhängig durch Tests von Dritten überprüfen lassen.

In unserem Test nutzen einige Angriffsmethoden legitime Systemprogramme und -techniken, so dass es für einen Anbieter relativ einfach ist, diese Angriffe zu vereiteln, indem er die Verwendung dieser legitimen Prozesse blockiert. Ein solcher Ansatz könnte jedoch dazu führen, dass das Produkt aufgrund von Fehlalarmen schlechtere Bewertungen erhält, genauso wie ein Sicherheitsprogramm bestraft werden könnte, wenn es wahllos alle unbekannten ausführbaren Programmdateien blockiert. Im gleichen Test lassen wir nicht zu, dass ein Angriff verhindert wird, indem lediglich Server, Dateien oder E-Mails, die von einem bestimmten Domainnamen stammen, auf eine schwarze Liste gesetzt werden, um gezielte Angriffe abzuwehren. Ebenso lehnen wir einen Ansatz ab, bei dem nicht zwischen bösartigen und nicht bösartigen Prozessen unterschieden wird und Administratoren gezwungen werden, diejenigen auf eine Whitelist zu setzen, die erlaubt sein sollten. Es ist erwähnenswert, dass es in Unternehmensumgebungen möglich ist, die Systeme der Benutzer einzuschränken und die Ausführung von PowerShell-Skripten oder -Makros zu verhindern. Ein ideales Sicherheitsprodukt sollte in der Lage sein, zwischen bösartigen und nicht bösartigen Skripten und Makros zu unterscheiden, um autorisierten Benutzern ein effizientes Arbeiten zu ermöglichen und gleichzeitig die Sicherheit zu gewährleisten.

In unserer Haupttestreihe für Verbraucher werden die Produkte mit ihren Standardeinstellungen getestet. In der Haupttestreihe für Unternehmen dürfen die Anbieter die Produkte nach eigenem Ermessen konfigurieren - wie es bei Sicherheitsprodukten für Unternehmen in der Praxis üblich ist. Für alle Tests der Reihe wird jedoch genau das gleiche Produkt und die gleiche Konfiguration verwendet. Würden wir nicht darauf bestehen, könnte ein Anbieter die Schutzeinstellungen erhöhen oder Funktionen aktivieren, um in den Real-World- und Malware-Protection-Tests gut abzuschneiden, sie aber für die Performance- und False-Positive-Tests herunterfahren/deaktivieren, um schneller und weniger fehleranfällig zu erscheinen. Im wirklichen Leben können die Benutzer nur eine Einstellung gleichzeitig haben, so dass sie in der Lage sein sollten, zu erkennen, ob hohe Schutzwerte eine langsamere Systemleistung oder niedrigere False-Positive-Werte einen geringeren Schutz bedeuten.

Wir erhielten Anfragen von Anbietern, die Informationen über die Angriffsmethoden für den Test benötigten. Obwohl wir im Vorfeld keine spezifischen Details zu den Angriffsmethoden bekannt gaben, stellten wir jedem teilnehmenden Anbieter nach dem Test ausreichend Daten zur Verfügung, um etwaige fehlende Testfälle zu demonstrieren.

Unser Test ist sowohl äußerst anspruchsvoll als auch ein Spiegelbild realer Szenarien. Unser Vergleichstest soll gleiche Bedingungen schaffen und eine faire Bewertung der Schutzmöglichkeiten verschiedener Produkte gegen solche Angriffe ermöglichen. Diese Transparenz kommt den Anwendern zugute, da sie die Wirksamkeit ihres Schutzes aufzeigt, und ermöglicht es den Anbietern, ihre Produkte bei Bedarf zu verbessern.

Dieser Test ist zwar für Verbraucherprodukte gedacht, aber die verwendeten Angriffstechniken sind die gleichen wie in unserem ATP-Test für Unternehmen. Hacker können hoch motiviert sein, die Heimcomputer bestimmter hochrangiger Personen, wie Politiker oder sehr wohlhabende Personen, ins Visier zu nehmen. Darüber hinaus ist es erwähnenswert, dass gezielte Angriffe auf Unternehmen mit der Kompromittierung der Heimcomputer von Personen wie dem CEO beginnen können.

Im Rahmen des Tests mit Windows-Benutzerkonten erforderte keines der Szenarien Administratorrechte auf dem Zielsystem. Daher spielte es aus Sicht des Angreifers keine Rolle, ob der Benutzer mit einem Administratorkonto (für den Verbrauchertest) oder einem Standardbenutzerkonto (für den Unternehmenstest) angemeldet war.

In bestimmten Testfällen wurden, wie in den Testfallbeschreibungen angegeben, Erstzugriffsvektoren wie vertrauenswürdige Beziehungen und gültige Konten verwendet. Dies bedeutet, dass der Angreifer bereits über die erforderlichen Benutzeranmeldeinformationen verfügte, um den fortgeschrittenen Angriff auszuführen. Zahlreiche Studien haben gezeigt, dass Szenarien, bei denen gestohlene Anmeldeinformationen für den Erstzugang verwendet werden, in der heutigen Bedrohungslandschaft immer häufiger vorkommen.

In einigen Fällen wurden für den Test umgelenkte Laufwerke verwendet. Obwohl das ATT&CK-Framework keine spezielle Kategorie für solche Fälle vorsieht, haben wir sie, wie in der Dokumentation beschrieben, als "Wechselmedien" kategorisiert. In der Praxis hatte die Methode, Malware in das System einzuschleusen, jedoch keine signifikanten technischen Auswirkungen.

Wir haben positive Rückmeldungen von Sicherheitsanbietern über die gründliche und realistische Methodik unserer jährlichen Sicherheitsbewertung erhalten. Einige Anbieter, die nicht in die diesjährige Bewertung einbezogen wurden, arbeiten aktiv an der Verbesserung ihrer Produkte, um sich besser gegen reale gezielte Angriffe zu schützen, und planen die Teilnahme an künftigen Bewertungen.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2025 von AV-Comparatives ®. Jegliche Nutzung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, aber eine Haftung für die Richtigkeit der Testergebnisse kann von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, der Testdokumente oder der damit verbundenen Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(November 2025)